Kreditkarten-BetrugLauter Löcher

Sicherheitsnummern auf Kreditkarten kann man knacken, und der Branche ist das eigenartig gleichgültig. von 

Eine Frau am Geldautomaten.

Eine Frau am Geldautomaten.  |  © Patricia de Melo Moreira/AFP/Getty Images

Auf der Rückseite von Master- und Visakarten, gleich neben dem Feld für die Unterschrift, steht eine aufgedruckte Geheimzahl aus drei kleinen Ziffern. 089 lautet sie zum Beispiel, oder 945, oder 328. Die Ziffernfolge ist von Karte zu Karte verschieden. Im Branchenjargon wird sie »Kartenprüfnummer« genannt, sie soll das Einkaufen per Telefon und im Internet sicherer machen. Das stimmt bloß nicht.

Die Kartenprüfnummer wurde Ende der neunziger Jahre erfunden, weil im damaligen Internetboom auch ein neues, dunkles Geschäft entstand: Kreditkartenbetrug per Internet . Es war das nahezu perfekte Verbrechen. Wer sich geschickt anstellte, konnte anonym im Internet surfen und mit ein paar gestohlenen Informationen – einer Kartennummer, dem Namen des Karteninhabers und dem Ablaufdatum – auf Kosten anderer Leute einkaufen.

Anzeige

Solche Angaben finden sich gelegentlich auf Kassenbelegen, sie können auch von betrügerischen Kellnern und Kassierern kopiert werden, und immer verbreiteter wird das sogenannte Skimming : Deutsche Banken mussten gerade erst Tausende Geldautomaten austauschen, weil Gauner die Geräte mit Lesegeräten spicken konnten; Hunderttausende ec- und Kreditkartendaten sollen auf diese Weise schon ausspioniert worden sein. Im Internet blüht das Geschäft mit gestohlenen Kreditkartendaten: Millionen davon werden täglich gehandelt.

Glaubt man den Kreditkartenfirmen, dann soll der dreistellige Zahlencode, den man bei Einkäufen übers Telefon und per Internet stets nennen muss, gegen den Missbrauch gestohlener Kartendaten helfen. Er »soll die Nutzung von gefälschten oder gestohlenen Kreditkarten verhindern und Bezahlvorgänge im Versandhandel sicherer gestalten«, erläutert beispielsweise der Eurocard-Verbund. Visa formuliert es so: »Durch die Kartenprüfnummer wird sichergestellt, dass die einkaufende Person auch tatsächlich im Besitz der Kreditkarte ist und nicht nur einen Einkaufsbeleg hat oder in Kenntnis der Kartennummer ist.«

Es gibt aber ein Problem: Es dauert zwischen einer Viertelstunde und wenigen Stunden, diese Kartenprüfzahl zu knacken. Sebastian Schreiber zum Beispiel kann das, 38 Jahre alt, ein studierter Informatiker aus Tübingen, der gerne Anzug und Krawatte trägt und nach eigener Beschreibung von Beruf ein »Penetrationstester« ist. Das heißt, er spürt Sicherheitslücken in elektronischen Systemen auf. Ein Hacker, könnte man auch sagen, im Dienste von Unternehmen und Banken.

Für die ZEIT unternahm Schreibers Firma SySS GmbH einen einfachen Test: Sie bekam telefonisch die Angaben von der Vorderseite einer Kreditkarte. Am nächsten Morgen rief dann Schreibers Mitarbeiter Micha Borrmann zurück und sagte in routinemäßigem Tonfall: »027.« Das war die angeblich streng geheime Prüfzahl auf der Kartenrückseite. Einmal versagte das Verfahren der Tübinger bei den Tests – aber wieder und wieder führten Wiederholungen zum gleichen Ergebnis: Die von Schreibers Team ermittelte Zahl stimmt.

Das ist an sich schon merkwürdig genug. Noch merkwürdiger ist, was passiert, wenn man bei den Kreditkartenfirmen und Finanzinstituten anruft und sich nach dieser Sicherheitslücke erkundigt. »Uns ist nicht bekannt, dass es da Sicherheitsprobleme geben könnte«, lautet die Antwort vom Bankenverband. »Der CVV2 (so heißt die Visa-Kartenprüfziffer im Jargon, Anm. d. Red.) kann nicht einfach errechnet werden«, schreibt Visa zurück. Bei Banken, auch bei manch großen Sicherheitsfirmen lautet die Auskunft ähnlich. Mastercard schickt als Antwort eine lange Erklärung, verfasst von hausinternen Experten: Der Code hinten auf der Karte sei unknackbar, weil darin ein »Triple-DES cryptographic algorithm« zum Einsatz komme sowie ein »double-length-112-bit secret key«.

Leserkommentare
  1. Wen interessiert schon das Risiko und die kriminelle Energie?
    Der Kunde muss damit leben. Die Banken kassieren, die Karteninstitute auch.
    Die Menschen wollen den schnellen und ultimativen Genuss und Kick, das ist der Preis dafür.
    Ich für meine Person werde meine Karte zurückgeben, da das Kreditkartenunternehmen sie im Falle eines Widerspruchs schlicht weg im Stich läßt. Sie müssen Ihrem eigenen Geld hinterherlaufen!
    Den Klageweg beschreiten und dran bleiben. Der Händler, der sie zu betrügen versucht ( online-Geschäfte) windet sich mit scheinheiligen Erklärungen und musste letzendlich doch zahlen, da er sich ungerechtfertigt bereichert hatte. In den AGB's steht, dass sie sich mit dem Händler einigen müssen. Das ist echt lachhaft und eines Dienstleisters im Finanzwesens unwürdig.
    Ich zahle lieber zukünftig per Rechnung oder Lastschrifteinzug bei mir gut bekannten Unternehmen mit seriösem Hintergrund.
    Das ist mir die Sache und meine Nerven wert.
    Dafür warte ich auch gerne etwas länger auf die Ware oder bestelle eben rechtzeitiger.
    Aus eigener Erfahrung kann ich dies nur allen raten!

    PS: Schauen Sie mal genau in Ihre Kreditkarten AGB's, falls sie die überhaupt haben.

    Im Internet werden sie nicht von jedem Kreditkartenunternehmen angezeigt, was schon sehr sonderbar ist!!

  2. Sie vergessen zu erwähnen das bei "sicheren" Systmen die Beweisphlicht ungedreht ist, sie bei einen grösseren Betrug bei den die Kartenfirma sich weigert zu zahlen also vor Gericht beweisen müssen das sie es nicht wahren, und das es ein Hacker war. Was angesichts des als "sicher" eingestufen Systems wohl nur unter massiven Geldeinsatz gelingen dürfte.

    Es gibt also für die Kartenfirmen kein Problem, sie zahlen liber die auffligenden Betrugsfäle weil das weit billiger iat als ein neues Sicherhietssystem, auserdem sind sie ja gegen all zu grosse Forderungen duch das rechtilich "sichere" System abgesichert.

    Die Kosten für die erstattungen zahlen dann halt die Kunden mit etwas höheren Gebüren. Aber wir sollen ja grad im internett uns öffnen und unter RealNahmen Posten und alle daten zugänglich machen da ja wer nicht zu verbergen hat nicht befürchten muss.

    Aber natürlich werden wir keine Daten darüber gekommen wie viele Betrugsfälle es gegeben hat und wie hoch die schadenssumme ist.

    Reaktionen auf diesen Kommentar anzeigen

    die kreditkarten firmen sind i.d.r. sehr kulant und zahl alles über 70 euro selbstbehalt
    mir wurde schon zwei mal die kreditkarte gestohlen (kann ich auch nicht nachweisen) und damit wurde eingekauft und eine einfache meldung, samt sperre und diebstahlsanzeige hat gereicht

  3. die kreditkarten firmen sind i.d.r. sehr kulant und zahl alles über 70 euro selbstbehalt
    mir wurde schon zwei mal die kreditkarte gestohlen (kann ich auch nicht nachweisen) und damit wurde eingekauft und eine einfache meldung, samt sperre und diebstahlsanzeige hat gereicht

    Antwort auf "Es gibt keine Probleme"
  4. ... ist weit über den Mißbrauch von Kreditkarten hinaus riskant. Gestern sollte uns weiß gemacht werden, dass mit einem Schlag gegen die Rechner der Piratenpartei ein Hacker-Angriff gegen frz. Kernkraftbetreiber vereitelt werden musste. Bei näherem Hinsehen ("Rechtshilfe") werweist sich der Zugriff als organisierte Ignoranz - auf Seiten des BKA: http://berlin2011.wordpress.com/2011/05/21/rechtshilfe-in-der-wolke/

  5. Die in Deutschland eisern am Leben gehaltene Maestrokarte (EC) ist doch viel unsicherer. Da steht der einzige Sicherheitscode, die Unterschrift, hinten drauf. Man muss sich nur einen Elektronikladen mit Lastschriftkasse aussuchen, und schon kann man den neuen Breitbildfernseher gratis raustragen.

    Online gehts noch einfacher, denn man braucht nur die Kontodaten, die alle auf der Karte stehen-et voila.

    Da ist Mastercard mit seinem Securecode schon sicherer, denn das Kennwort steht nirgends drauf. Und es gibt kein sicheres Zahlungsmittel. Bargeld ist ja schließlich noch unsicherer...

  6. Die Parallele, die hier zu dem neuen Personalausweis gezogen wird, ist nicht gerechtfertigt. Die vom CCC aufgezeigten Risiken beim Perso sind doch von ganz anderer
    Kategorie als die im Artikel genannten Sicherheitsmankos
    bei den Kreditkarten. Wer von den Sache etwas versteht, der weiss, dass heute im Prinzip technisch mehr möglich ist, als
    praktiziert wird, und dass der neue Perso ein Schritt in die richtige Richtung ist. Ein Zahlungsverkehr auf Perso-Basis wäre auf jeden Fall das Sicherste, was man aus heutiger Sicht in absehbarer Zeit erreichen kann.

    Antwort auf
  7. ...SOLANGE DIE DATEN DIE ZUM EINKAUF ANGEGEBEN WERDEN ALLE ÖFFENTLICH SIND.

    Denn solange das so ist, solange liegt die Sicherung der Transaktion bei der Kreditkartenfirma.

    Solange ich die Transaktion ERST absegne, wenn ich meinem Monatsauszug nicht widerspreche, solange hat die Kreditkartenfirma die Haftung an der Backe.
    Das ist auch vernünftig, denn die haben ja den Überblick und die Resourcen, dem Mißbrauch nachzugehen.

    Sobald aber ein GEHEIMNIS VON MIR (also eine Geheimzahl à la SecureVISA) ins Spiel kommt, bin ICH der gemeierte, den jetzt kann die Kreditkartenfirma sich bequem zurücklehnen und "Geheimnummer verloren, Du bist schuld" murmeln.

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Schlagworte Bank | Hacker | Internet | Mastercard | Onlineshopping | Visum
Service